Autoridades de certificación

La descripción general de la autoridad de certificación abarca en general el significado de una CA en un contexto EJBCA, detallando los distintos campos de la CA y describiendo su relación con la descripción general de editores , la descripción general de validadores y los tokens criptográficos , así como las aprobaciones para añadir un grado de control de acceso distribuido a operaciones como la activación o renovación de certificados de CA. Esta guía incluye una subsección que describe la gestión de las CA CVC .

Tokens criptográficos

La descripción general de los tokens criptográficos explica el funcionamiento interno. Un token criptográfico representa un conjunto de pares de claves, ubicados en la base de datos (como PKCS#12 ) o en un HSM (como PKCS#11 ), que la CA utiliza para diversas operaciones de firma y cifrado, pero que también se utilizan para otras operaciones de firma, como las de los respondedores OCSP y la autenticación remota con otras instancias EJBCA .

Perfiles de certificados

Los perfiles de certificado proporcionan una plantilla y restricciones para los certificados generados para un propósito específico. El perfil de certificado seleccionado para una CA restringe los certificados para las claves de dicha CA, no los certificados que, a su vez, están firmados por dichas claves. Estos se definen en la entidad final que se describe en la siguiente sección.

Un perfil de certificado define detalles como el propósito, los algoritmos de clave disponibles, el tamaño de las claves y las extensiones para restringir funciones. Los perfiles de certificado tienen innumerables tipos de campos, descritos en su propia página de descripción general; consulte Campos del perfil de certificado . Además, EJBCA permite definir extensiones de certificado personalizadas y usos de claves extendidas . Los perfiles de certificado también tienen su propio conjunto de restricciones de aprobación configurables para distribuir el control de acceso en operaciones como la inscripción y renovación de certificados. Para obtener más información, consulte la descripción general de los perfiles de certificado .

Entidades finales

Una entidad final es el titular y propietario básico de un certificado, ya sea una persona física, un dispositivo, una subCA o un componente como un respondedor OCSP. Una entidad final siempre es propiedad de una Autoridad de Certificación , y los certificados emitidos para ella se definen mediante un único Perfil de Certificado . Para que los administradores puedan limitar las opciones de registro de los usuarios (predefiniendo, prohibiendo o exigiendo ciertos campos), cada entidad final también se ajusta a un Perfil de Entidad Final . Varias entidades finales pueden compartir el mismo perfil, por lo que puede configurarse para que esté disponible para varias CA y varios perfiles de certificado.

Los campos del perfil de entidad final se definen en su propia página y, además de las restricciones mencionadas anteriormente, los valores también pueden restringirse mediante expresiones regulares. En algunos casos, la CA debe generar los pares de claves en nombre del usuario (en lugar de simplemente firmar una CSR). En estos casos, el par de claves puede guardarse (cifrado en PKCS#12) en la base de datos, lo que permite su posterior recuperación . Para obtener más información sobre las entidades finales, consulte la Descripción general de las entidades finales .

Editores

Ya ha decidido qué CA usar y en qué perfiles de certificado y de entidad final basar sus certificados, ¿qué sigue? En la mayoría de los casos, desea que sus certificados terminen en un lugar útil, más allá de estar en manos del usuario final. Por eso, utilizamos el concepto de publicadores, que gestionan tareas como la publicación de certificados en una entidad de validación (VA) para gestionar las respuestas de OCSP, en LDAP , Active Directory o en cualquier otra implementación. La publicación puede realizarse de forma directa o asíncrona a través de una cola para garantizar una mayor fiabilidad. Para obtener más información, consulte la descripción general de los publicadores .

Validadores

Como CA, es posible que desee mantener cierto control sobre los certificados que emite, las claves que firma, la posibilidad de ejecutar linters de certificados externos y otras funciones. EJBCA proporciona un potente conjunto de validadores que se ejecutan durante el proceso de emisión para garantizar que sus usuarios no se registren con certificados defectuosos o débiles. Consulte la descripción general de los validadores .

Servicios

Algunas tareas deben realizarse en segundo plano, como publicar certificados mediante una cola, renovar certificados de firma o generar CRL. Nuestra biblioteca de service workers realiza estas tareas a intervalos configurados y ofrece una potente API para crear sus propios servicios .

Aprobaciones y perfiles de aprobación

Si bien la simple emisión de certificados es suficiente, una CA adecuada debe proporcionar responsabilidad multiusuario y control de acceso a las operaciones de emisión. Mientras que el Perfil de Aprobación Acumulativo estándar requiere un número simple de n administradores aprobadores, los Perfiles de Aprobación Particionados permiten un flujo de aprobaciones complejo con secuencias y particiones paralelas. Para obtener más información sobre aprobaciones, consulte Aprobaciones y Perfiles de Aprobación .

Atajos de teclado internos

Las vinculaciones de teclas internas son el término general de EJBCA para vincular tokens criptográficos que no firman certificados a tareas específicas, en concreto, respuestas OCSP y autenticación remota . Consulte Descripción general de autenticadores remotos .

Sistemas de pares

EJBCA proporciona un potente marco para conectar instancias de EJBCA mediante TLS, lo que permite a una CA delegar tareas de VA y RA a nodos ubicados en la DMZ. Consulte Sistemas de pares .

Iniciar sesión en EJBCA

EJBCA registra la salida a través de tres métodos:

• El Registro del Sistema, que por defecto muestra las acciones más importantes y los cambios en el estado del servidor, también puede configurarse para mostrar información de depuración para facilitar la resolución de problemas.

• El registro de auditoría registra todas las acciones relacionadas con la emisión o los cambios de estado de la CA, así como las acciones de seguridad. El registro de auditoría puede protegerse contra manipulaciones mediante el dispositivo de registro de integridad protegida .

• El registro de transacciones OCSP , que registra específicamente las solicitudes OCSP en un archivo separado.

Para obtener más información, consulte Registro .

Descripción general de los protocolos remotos

EJBCA admite una amplia gama de protocolos para diversos casos de uso y necesidades. El más común, con diferencia, es OCSP para gestionar solicitudes de estado de certificados. También admitimos protocolos de inscripción estrictos como SCEP , EST y ACME , y protocolos de gestión de certificados más avanzados como CMP , nuestra propia API REST de gestión de certificados y los servicios web de EJBCA . Estos últimos también proporcionan una amplia gama de otras tareas, como las aprobaciones y la gestión de CA. Todos los protocolos pueden ser redirigidos a través de otra instancia de EJBCA que actúa como RA conectada a través de pares . Para más información, consulte Protocolos .

Roles y derechos

Cualquier operación de PKI a escala empresarial requiere un sistema complejo para la gestión de roles y derechos. EJBCA proporciona una arquitectura completa de roles y reglas de acceso que permite un control de acceso preciso de las CA, tokens criptográficos y perfiles, con modos de solo lectura independientes para los auditores. Este control de acceso se extiende al marco de aprobaciones (que permite que roles específicos aprueben ciertas condiciones de aprobación ) y a las RA conectadas entre pares para que diferentes usuarios de RA interactúen con la misma CA sin necesidad de intervención mutua, minimizando así el riesgo de que una RA se vea comprometida. Para más información, consulte Roles y reglas de acceso .

Fuentes de datos del usuario

El marco básico de Fuentes de Datos de Usuario permite importar datos de usuario desde bases de datos existentes, así como desde LDAP y AD. Consulte Fuentes de Datos de Usuario .